En la figura uno se muestra un router con un segmento de red local en cada una de las dos interfaces Ethernet Gigabit.  Cada segmento consiste en un switch y una computadora.  La interfaz gigabit Ethernet cero barra diagonal cero se encuentra en la red 192 punto 168 punto 10 punto cero, y la interfaz cero barra diagonal uno se encuentra en la red 192 punto 168 punto 11 punto cero.  La figura muestra la creación de una ACL que deniegue el tráfico FTP de la subred punto 11 que va a la subred punto 10.  El primer comando de esta ACL es: access guion list 101 deny tcp 192 punto 168 punto 10 punto cero cero punto cero punto cero punto 255 any eq ftp  El comando siguiente es: access guion list 101 deny tcp 192 punto 168 punto 10 punto cero cero punto cero punto cero punto 255 any igual ftp guion data.  El último comando permite todo el otro tráfico y es: access guion list 101 permit ip any any.  La ACL luego se aplica a la interfaz gigabit Ethernet en la dirección entrante con el comando ip access guion group 101 in. La figura 2 muestra una ACL que deniega el tráfico Telnet de cualquier origen a la LAN 192 punto 168 punto 11 punto cero barra diagonal 24, pero permite todos los demás tipos de tráfico IP.  El primer comando es access guion list 102 deny tcp any 192 punto 168 punto 11 punto cero cero punto cero punto cero punto 255 any eq 23.  El último comando permite todo el otro tráfico y es: access guion list 102 permit ip any any.  Finalmente se aplica la ACL a la interfaz en el sentido saliente mediante el comando ip access guión group 102 out.